Startseite > OneDrive for Business, SharePoint Online > OneDrive for Business: Advanced File encryption

OneDrive for Business: Advanced File encryption


OneDrive for Business, Microsoft

SharePoint Online, Microsoft

Auf der SharePoint  Conference 2014 in Las Vegas (SPC 2014) gab es bereits zwei Sessions über Advanced File Encryption in SharePoint Online. Jetzt hat Microsoft angekündigt, dass diese Technik (Fort Knox) für jedes Dokument in SharePoint Online und OneDrive for Business ab sofort angewendet wird.

Ich möchte hier versuchen, diese Technik anhand von ein paar Bildern und ein bisschen Text  zu erklären:

Advanced Encryption Jede Datei wird mit der OneDrive for Business Synchronisierungs Technology “häppchenweise” in die Wolke übertragen (SSL). Dabei gilt: Je größer eine Datei, desto mehr Häppchen.
Die Datei wird also in mehreren Teilen gespeichert. Bei Änderungen an einem Dokument wird auch nur die Änderung gespeichert.
Advanced Encryption , Schlüssel Generierung für jedes Häppchen (Teil) wird jetzt ein Schlüssel generiert.

In dem Beispiel werden für vier Teile vier eindeutige Schlüssel generiert.

Advanced Encryption: Azure Store Für jedes Teil gibt es einen eigene Store in Azure (SQL Azure)
(hier A-D)
und dort werden die vier Teile dann gespeichert
Advanced Encryption: Azure Store Jedes Teil-Dokument wird in einem anderen Store gespeichert
Advanced Encryption: Azure Store: encrypt each Azure Store Jeder Store wird wiederum mit einem neuen Key verschlossen. und diese Keys werden in einem riesigen Key-Store gespeichert
Advanced Encryption: neuer Schlüssel Dann wird ein neuer Key erzeugt

Advanced Encryption: Verschlüsselung der ursprüglichen Schlüssel Dieser Key verschlüsselt die ursprünglich für jedes Teil angelegten Keys.
Advanced Encryption: Speichern ion der Content-Datenbank Und diese Key-Daten werden in der Content-Datenbank von SharePoint Online gespeichert.

Damit hat es ein möglicher Angreifer sehr,sehr schwer:

  • In der Content-Datenbank liegen keine Daten, sondern nur verschlüsselte Schlüssel
  • In den Millionen von Azure Stores liegt zwar der Content, aber dieser ist in vielen Teilen  gesplittet und durch einen separaten Schlüssel gesperrt.
  • Alle Schlüssel der Azure-Stores liegen in einer Schlüsseldatenbank( Key-Store)
Advanced Encryption: Vorgang wird jeden Tag wiederholt Hätte man genügend Zeit, den Key-Store und seine Schlüssel zu analysieren, dann…

… deshalb werden alle Schlüssel im Key Store alle 24 Stunden ausgetauscht

und:

zu keiner Zeit kommt der Anwender (und /oder  Administrator) mit irgendeinem Schlüssel in Verbindung oder kann diesen einsehen.

  1. Andreas
    29. Oktober 2014 um 17:00

    Danke für die Übersicht! Leider bleibt die Frage, wer erzeugt und verwahrt den „Master Key“, mit dem die Keys der Fragmente verschlüsselt werden. Solange dieser nicht ausschließlich im Zugriff des Endnutzer, also außerhalb der Cloud, liegt, ist das Verfahren „nicht besser“ als alle anderen Cloudspeicher-Verschlüsselungen „at rest“.

    • Tobias
      25. November 2014 um 14:22

      Genau das ist der Punkt! Wie kann eine Cloud wirklich sicher sein (vor z.b. diversen Behörden) wenn Microsoft selber letztendlich den Masterkey besitzt!?

      • 25. November 2014 um 14:28

        Das bleibt ja jedem selbst überlassen, die Dokumente selbst zu verschlüsseln, dann bleibt aber Collaboration auf der Strecke.

  1. 18. April 2015 um 11:41
  2. 18. Februar 2015 um 15:54
  3. 30. Januar 2015 um 18:30
  4. 15. Januar 2015 um 14:27
  5. 31. Dezember 2014 um 12:59

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: